Gastbeitrag ISPIN: Das Unvorhersehbare planen — Computer Security Incident Response
Ausnahmslos jedes Unternehmen muss damit rechnen, früher oder später Opfer einer Cyberattacke zu werden. Das Ausmass der Schäden hängt wesentlich davon ab, wie schnell und wie effektiv reagiert wird, sobald der Fall der Fälle eintritt.
Die Herausforderung ist also, sich der Gefahr bewusst zu sein, die notwendigen Vorbereitungen auf das Unplanbare zu treffen und zu wissen, was im Ernstfall zu tun ist. Die Lösung: Computer Security Incident Response.
Schnell und effektiv auf einen Cyberangriff reagieren kann nur, wer entsprechend vorbereitet ist. Wie aber kann man sich auf einen solchen Angriff vorbereiten? Hier kommt das Computer Incident Response Team, kurz CSIRT, ins Spiel. Ein CSIRT kümmert sich um die effektive und effiziente Behandlung von schweren Sicherheitsvorfällen. Dazu braucht es, neben den entsprechenden Fähigkeiten, Methoden und Werkzeugen, auch viel Training. Das ist mit erheblichem Aufwand verbunden. Deshalb kann es sinnvoll sein, mit einem externen CSIRT zusammenzuarbeiten, welches die eigene Organisation entlastet und jederzeit verfügbar ist, wenn es gebraucht wird.
Die Arbeit eines CSIRT beginnt aber nicht erst mit einem Incident, sondern im Idealfall bereits heute.
Vorbereitung: Angriffsszenarien definieren und die Reaktion planen
So wie Piloten sehr intensiv Ausnahmesituationen trainieren, so müssen sich auch Unternehmen bestmöglich organisatorisch und technisch vorbereiten. Zumindest folgende Fragen sollten geklärt und in einem Incident Response Playbook (IR Playbook) festgehalten werden:
- Für welches Szenario oder welche Szenarien kann das IR Playbook angewendet werden?
- Welche vorsorglichen organisatorischen und technischen Massnahmen (Ressourcen und Tools) wurden getroffen, bzw. stehen zur Verfügung?
- Welche Rollen sollen/können involviert werden und was ist ihre Aufgabe?
- Welche sicheren Kommunikationskanäle stehen zur Verfügung?
- Welches sind die für die Anwendung notwendigen Kontaktinformationen?
- Welche formalen Prozessschritte sind während der jeweiligen Phase eines Incidents zwingend einzuhalten?
Zu diesen organisatorischen Vorbereitungen kommen eine ganze Reihe von technischen Massnahmen, die im Vorfeld durchzuführen sind.
Erkennen und analysieren: Den Ernstfall beherrschen
Ist der Ernstfall eingetreten, muss zunächst geklärt werden, ob es sich bei dem Vorfall tatsächlich um einen Incident handelt oder ob falscher Alarm ausgelöst wurde. Liegt ein Incident vor, muss dieser näher analysiert werden. Dazu gehören Antworten auf die Fragen:
- Was wurde getroffen, was ist betroffen?
- Wie ist der Sicherheitsvorfall entstanden?
- Wann bzw. wie ist die zeitliche Abfolge der Ereignisse?
- Wer ist der Urheber des Vorfalls?
Sind diese Informationen vorhanden, kann mit der nächsten Phase begonnen werden.
Eindämmen, bereinigen und wiederherstellen: Schadensbegrenzung hat Priorität
Ist klar, was das Unternehmen getroffen hat und wo die Ursache liegt, kann mit den notwendigen Eindämmungs-Massnahmen begonnen werden. Da die wenigsten Unternehmen intern über das nötige Know-how verfügen, ist es wichtig, rechtzeitig Hilfe zu organisieren, damit im Ernstfall die Reaktion schnell von statten gehen kann. Jene Massnahmen, die den Schaden begrenzen, sollten Priorität haben. Denn den Schaden zu verhindern oder zu begrenzen ist das wichtigste Ziel.
„Lessons learned“ für die Optimierung nutzen
Ist alles bereinigt und wieder hergestellt, ist es unerlässlich, die Lehren aus dem Vorfall zu ziehen und diese für Optimierungen zu nutzen. So können gleichgeartete oder ähnliche Vorfälle künftig verhindert oder besser und schneller bewältigt werden.
Ursprünglich erschienen am 11.03.2021 im ISPIN-Blog.
Haben Sie bereits einen Computer Incident Response Plan oder ein CSIR-Team? Wissen Sie, wie die einzelnen Phasen im Detail ausgestaltet sein sollten? Erfahren Sie mehr darüber im ISPIN-Whitepaper „Computer Security Incident Response“.